28

Tribuna de Opinin

Calidad y seguridad en los

sistemas de informacin
La importancia de un enfoque global
LA SEGURIDAD DEBE SER UNA DE LAS CARACTERSTICAS INCLUIDAS
DENTRO DE LA CALIDAD. SI UN SISTEMA NO ES SEGURO, NO ES FIABLE
POR TANTO NO PUEDE SER DE CALIDAD

caractersticas que impone la

globalizacin.
Senn J.
Pjaro Novoa Los Sistemas de Informacin deben

PRESIDENTE DE
reunir las condiciones de Calidad y
AFSMI, Seguridad imprescindibles para el
DIRECTOR DE buen funcionamiento de la organiza-
CALIDAD FUJITSU
cin a la que prestan sus servicios.
ESPAA
Podramos utilizar muchas definiciones
de Calidad para aplicarlas a un Siste-

L
os Sistemas de Informacin y
Comunicaciones son un pilar
esencial para el xito de cual-
Una auditora es un
quier organizacin. Sin disponer de proceso mediante el cual
informacin eficaz, fiable, fcilmente
accesible desde donde se necesite y se comprueba que el
cuando se necesite, no es posible
prestar la adecuada atencin a los sistema funciona segn
las normas de seguridad
clientes, cumplir con los compromisos
adquiridos, optimizar y mejorar los
procesos, aumentar la productividad y
capacidad competitiva. La informacin,
establecidas y actualizado. La Seguridad debe ser
una de las caractersticas incluidas
debidamente gestionada, almacenada dentro de la Calidad. Si un Sistema no
y distribuida es el motor que propulsa ma de Informacin pero creo que la es seguro, no es fiable por tanto no
la permanente adaptacin de una or- ms sencilla de todas es la que mejor puede ser de Calidad. La seguridad
ganizacin a su entorno, condicionan- se adapta: Un Sistema de Informacin depende de muchos factores: la arqui-
do no solo su xito sino su superviven- es de Calidad si cumple los requeri- tectura del hardware y software, del
cia en un marco cada vez ms cam- mientos o requisitos para los que ha propio hardware y software, la co-
biante y dominado por las sido diseado, implantado, mantenido nexin con otras redes y los accesos

N 1 Enero / Febrero 2006


externos desde clientes, proveedores y
el personal propio, las normas y proce-
dimientos de utilizacin del sistema, la
aptitud y actitud de los responsables y
administradores del sistema, la actitud
y aptitud de los usuarios internos, la
estructura fsica de los edificios y ofici-
nas donde est instalado el sistema,
etc. La complejidad de los factores es
Tribuna de Opinin
tal que si no contemplamos la organi-
zacin como un todo, en una visin
holstica e integrada, seguramente
lograremos tener aspectos seguros en
nuestros sistemas, pero no seguridad
real. La seguridad hay que promoverla
activamente desde Direccin, hay que
gestionarla de forma permanente, hay
que verificarla peridicamente. Una
29
forma de verificarla es mediante las
Auditoras que son parte de los proce-
sos de gestin. Una auditora es un
proceso mediante el cual se comprue-
ba, mediante el anlisis de evidencias
documentales, que el sistema funciona
segn las normas de seguridad esta-
blecidas. Esto implica que haya nor-
mas de seguridad claras y evidencias
N 1 Enero / Febrero 2006
30
Tribuna de Opinin
documentales que demuestren que
aquellas se siguen estrictamente.
Debe existir en la organizacin una
cultura de calidad y seguridad adecua-
das, esto solo puede lograrse de forma
efectiva, si existe un MODELO DE GES-
TION que propugne estos y otros valo-
res. Un ejemplo es el MODELO DE
EXCELENCIA de la EFQM, cuyos crite-
rios se exponen en la Fig. 1:
Modelo de excelencia de la
EFQM
La idea bsica que fundamenta el
Modelo EFQM es la conocida como ciclo
de Deming, que consiste en:
Planifica lo que se debe realizar,
Ejecuta lo planificado,
Verifica los resultados que obtie-
nes ; y
Acta corrigiendo las desviacio-
nes.
El Modelo consta de 9 criterios:
Cinco que son los AGENTES, las cau-
sas que producen los cuatro criterios
de RESULTADOS. En el conjunto de los
cuatro tipos de Resultados podemos
identificar los grupos de inters en la
organizacin, que estn afectados:
N 1 Enero / Febrero 2006
Los Accionistas que tendrn un
alto nivel de satisfaccin si se logran
buenos resultados de negocio/
performances.
El personal de la organizacin
que estar satisfecho si se producen
resultados que le impacten positiva-
mente.
El Liderazgo es el proceso
mediante el cual la
Direccin ejerce su
responsabilidad, en
definitiva cmo hace que
todos participen en el
logro de los objetivos de la
organizacin
Los Clientes, el activo ms impor-
tante de cualquier organizacin, que
estarn satisfechos si la organizacin
cumple sus compromisos, es fiable,
flexible, competitiva.
La sociedad en general, estar
satisfecha con la organizacin si sta
le aporta valor a travs de las formas
ms diversas.
Debemos analizar los resultados
logrados, medirlos, aprender de ellos y
utilizar el aprendizaje para actuar so-
bre los agentes o causas e implantar
acciones de mejora que nos permitan
alcanzar nuevas metas. Este es un
bucle que nos debe llevar hacia la
mejora continua, entendida como la
continua mejor adaptacin a las cir-
cunstancias cambiantes en las que
debe desarrollar su actividad la organi-
zacin.
Ninguna organizacin sobrevive
largo tiempo sin una adecuada Polti-
ca y Estrategia y aqu estn incluidos
la visin y misin, los valores y princi-
pios, los objetivos estratgicos y las
estrategias para lograrlos. Es la Direc-
cin la que tiene la responsabilidad de
estos conceptos y para llevarlos a
efecto de forma eficaz, debe de tener
definidos, gestionados y controlados
los procesos necesarios.
El Liderazgo es el proceso median-
te el cual la Direccin ejerce su res-
ponsabilidad, cmo comunica con el

personal, cmo escucha, en definitiva
cmo hace que todos participen en el
logro de los objetivos de la organiza-
cin. La Direccin, ejerciendo su
liderazgo, debe poner en marcha ac-
ciones que faciliten que cada miembro
de la organizacin, cualquiera que sea
su posicin en el organigrama, ponga
el mximo de su capacidad y esfuerzo
en el logro de los objetivos que se
propongan.
La Gestin del Personal, cmo se
selecciona, cmo se forma y entrena,
cmo se le reconoce y promueve. El
personal es el recurso ms valioso de
cualquier organizacin. Son quienes
atienden a los clientes, quienes desa-
rrollan los productos y servicios, quie-
nes en definitiva pueden realizar un
esfuerzo extra para satisfacer cual-
quier demanda puntual. La experiencia
nos dicta que primero est el cliente y
luego el personal, dentro del natural
orden de prioridades.
La Gestin de otros Recursos es
tambin fundamental para lograr el
xito de cualquier organizacin, en
este criterio el Modelo de Excelencia
incluye edificios, maquinaria, activos
financieros, sistemas de informacin,
Tribuna de Opinin
gestin del conocimiento, acuerdos
con subcontratistas y proveedores.
El elemento central del Modelo de
Excelencia son los PROCESOS. Todo
en una organizacin se logra a travs
de los procesos.
Procesos
Un Proceso es una accin o secuen-
cia de acciones realizadas para lograr
un resultado, salida o output transfor-
Debe existir en la
organizacin una cultura
de calidad y seguridad
adecuadas
mando o combinando unas entradas o
inputs. Las salidas de un proceso sue-
len ser las entradas de otro proceso al
que llamamos cliente. Las entradas de
un proceso son las salidas de otro al
que llamamos proveedor. Lo funda-
31
mental de cualquier proceso es satis-
facer los requerimientos del cliente.
Por tanto ante cualquier proceso debe-
mos identificar quien es el cliente, que
demanda del proceso es decir cuales
son sus requerimientos, como, donde
y cuando debemos entregar los resul-
tados . Conocidos los resultados y sus
requerimientos, atributos o caracters-
ticas tenemos que identificar los re-
querimientos de las entradas del pro-
ceso y transmitirlos al proveedor. Es
realmente una cadena cuya accin va
desde las entradas a los resultados
pero para que funcione adecuadamen-
te es imprescindible identificar los
requerimientos desde los resultados
hasta las entradas.
Los procesos de una organizacin no
solo forman cadenas de valor sino re-
des. Unos interactuan con otros, consti-
tuyen un sistema que debe ser analiza-
do en su conjunto para lograr los obje-
tivos planteados. Hay procesos
estratgicos y de direccin, procesos de
soporte como la seleccin y formacin
del personal, la gestin de las TIC, etc.;
y procesos operativos o de negocio que
son aquellos en los cuales se realizan
las acciones que crean valor para los
N 1 Enero / Febrero 2006
32
Tribuna de Opinin
clientes. En la Fig. 2 pueden verso los
elementos de un proceso.
Cada proceso debe tener un res-
ponsable cuya principal misin es, no
solo conocer y gestionar todos los ele-
mentos del mismo, si no tener identifi-
cadas medidas e indicadores que le
permitan valorar las prestaciones de
dicho proceso y su grado de cumpli-
miento con los requisitos del cliente,
as como la evolucin en el tiempo. Es
necesario medir para aprender y con-
secuentemente poder mejorar. Existen
mltiples herramientas de calidad para
ser utilizadas en la mejora de proce-
sos, cada una tiene su campo de apli-
La calidad y la seguridad
en el entorno de las TIC no
pueden ser consideradas
elementos aislados del
resto de la organizacin
cacin especfico. Es bueno que el
responsable del proceso conozca las
herramientas ms importantes; pero
es mejor todava que est comprome-
tido con la mejora continua, ya que si
detecta que dicha mejora no se produ-
ce siempre podr recurrir a expertos
de calidad que le ayuden a identificar
las causas, mediante el uso de las
herramientas pertinentes.
El establecimiento de una cultura de
mejora por parte de todos en la orga-
nizacin, en todo lo que hacen, es la
mejor forma de afrontar los retos que
se le presentan dentro de un entorno
siempre cambiante.
En el entorno de las Tecnologas de
la Informacin y las Comunicaciones
existen procesos establecidos y que
estn basados en las mejores prcti-
N 1 Enero / Febrero 2006
cas. Un ejemplo en el entorno de los
Servicios TIC es ITIL (IT Information
Library) que recoge una serie de pro-
cesos como, gestin de la configura-
cin, gestin de incidencias, gestin de
problemas, etc. que gestionados de la
forma que propone existe una posibili-
dad de xito mucho ms elevada ya
que la librera est basada en las me-
jores prcticas. ITIL fue creada y es
gestionada por una organizacin inde-
pendiente y no lucrativa que es IT SMF
( IT Service Management Forum) . ITIL
se convertir prximamente en un
estndar ISO (ISO 20000). En internet
puede obtenerse ms informacin en
www.itsmf.com
En el entorno de los proyectos de
desarrollo de software existe otro mo-
delo en creciente expansin y es CMMI
(Capability Maturity Model Integration).
Es un modelo que recoge cinco niveles
de madurez de los procesos relaciona-
dos con el desarrollo de software, el
nivel ms bajo en el que podemos con-
siderar los procesos organizados de
forma catica y por tanto con resulta-
dos imprevisibles; el nivel ms alto el
cinco donde todos los procesos estn
perfectamente organizados, medidos y
gestionados. Que una organizacin
pase de un nivel de madurez al si-
guiente supone esfuerzos que se cuan-
tifican entre 9 y dieciocho meses. Evi-
dentemente cuanto mayor sea el nivel
de madurez de los procesos ms fiables
y previsibles sern los resultados. En
internet www.sei.com puede encontrar-
se ms informacin sobre CMMI.
La expansin que est teniendo el
uso de CMMI se debe sin duda al he-
cho de que un gran porcentaje de
proyectos de desarrollo de software
siguen sin finalizarse en tiempo, con
costes superiores a los previamente
estimados, sin cumplir todos los re-
querimientos pedidos. Esto ha sido as
durante los ltimos 50 aos, bienveni-
da sea una herramienta que nos per-
mita mejorar los resultados.
Calidad y seguridad
L a calidad y la seguridad en el
entorno de las TIC no pueden
ser consideradas elementos aislados
del resto de la organizacin. El
disponer de un modelo de gestin
que propugne la bsqueda de la
excelencia a travs de la mejora
continua, y cuando sea posible de
mejoras en escaln, en todos los
procesos de la organizacin, es un
condicionante fundamental. Ese
modelo permitir crear una cultura
en la que todos aporten valor, todos
se esfuercen en maximizar la efica-
cia y la eficiencia de sus procesos
para proporcionar productos y
servicios a los clientes. Todos asumi-
rn como propias las medidas de
seguridad de sus sistemas TIC para
evitar que los potenciales proble-
mas puedan impactar negativamen-
te a sus clientes. Todos entendern
su red de procesos, comprendern
la importancia de gestionarlos y
mejorarlos, aportarn sugerencias e
ideas de mejora; en definitiva vivi-
rn su actividad organizativa como
una experiencia vital y enriquece-
dora. Las auditoras de Calidad o
de Seguridad seguirn siendo nece-
sarias como procesos objetivos que
a travs de evidencias documentales
permitirn, no solo comprobar el
cumplimiento de las normas esta-
blecidas, sino identificar puntos
dbiles y aspectos a mejorar que
por medio de las acciones que co-
rrespondan tambin contribuirn
al proceso de mejora de la organi-
zacin . Nada permanece estable,
todo cambia, en las organizaciones
tambin, para mejor o para peor.
La opcin es obvia pero elegirla es
cuestin de voluntad, inteligencia y
saber hacer.